Конференция VBStreets

[gaidar]

ANDLL
Вживление VB-кода в другие процессы

http://vbstreets.ru/VB/Articles/66227.aspx

[tyomitch]

'Загружаем kernel32.dll и OLE32.dll(точнее, они уже загружены,
'так что просто получаем их hInstance)
Dim hKernelLib As Long, pProc As Long
hKernelLib = LoadLibrary("kernel32.dll")
Dim hOle32Lib As Long
hOle32Lib = LoadLibrary("ole32.dll")

жёстко. А чё не GetModuleHandle? Тогда бы FreeLibrary не понадобилась.

Ещё раскрою страшный секрет, можно?
Можно вместо Main() весь нужный код прописать в Class_Initialize()
Тогда не нужно будет ни знать, ни передавать IID

[keks-n]

Похоже, что к статье забыли приаттачить пример
А таким как я, которые в асме ничего не понимают, разобраться в статье без примера весьма сложно Просьба, его выложить.

[gaidar]

Просьба к автору приаттачить пример здесь.

[ANDLL]

http://www.vbland.net/downloads/article01.zip

[ANDLL]

Кстати, Гайдар может ты потрудишся, и убереш эти дурацкие посты про продажу ICQ?

[Ig]

А хде аттач?
Вышеуказанная ссылка посылает на юг.

[gaidar]

Да потому как vbland выдает:

Fatal error: main(): Failed opening required '/home/2428/s2782/public_html/includes/version.php' (include_path='.:/usr/local/share/pear') in /pub/home/niceshop/vbland/includes/joomla.php on line 71

Похоже, что руки авторов растут из того места, которое созвучно названию последнего файла. (Без обид, но это там висит постоянно, уже далеко не первый день встречаюсь на ссылках "туда").

[Ig]

Пасиб, адмирал, за поддержку.
Но хотелось бы услышать "начальника транспортного цеха", то бишь: афтора.

[ANDLL]

Ну вот, из-за лени Гайдара(не приаттачевшего вложение, при публикации статьи), мне приходится сейчас лезть в старые архивы и искать этот исходник...

Да и вообще, не пойму, зачем он Вам нужен? Если поняли о чем шла речь в статье - сами все напишете за полчаса. Не поняли - толку от исходника?

[Ramzes]

старый злобный копипаст, некоторые еще им пользуются

[Amed]

Ramzes тонко язвит

[gaidar]

Не, лень тут ни при чем. Просто во время очередного глюка движка архив улетел в космос и не вернулся

[Ig]

Ну вот... ...мне приходится сейчас лезть в старые архивы и искать этот исходник...

Пасиб, уважаемый ANDLL.
Потомки Вас не забудут.
Как грится: "Не пропадет ваш скорбный труд и дум высокое стремленье..."

старый злобный копипаст

Не-а, порядок должон быть во всем...
Обещали "сыра" - извольте выложить

Просто во время очередного глюка движка архив улетел в космос и не вернулся

Видать, в качестве очередного послания внеземному разуму, он прихватил с собой ишшо и скриншоты из некоторых статей...

[gaidar]

Картинки в статьях я вроде все восстановил.

[ANDLL]

Кстати,

Нам вовсе не обязательно разбираться, что эти каракули обозначают, достаточно выделить из них два значения, выделенных цветными маркерами. Запишите эти значения IID и CLSID на бумажку – они вам еще пригодятся…

В исходнике там действительно выделены некоторые значения маркером, а вот на vbstreets никакого выделения нет.
Как же так Гайдар, я тебе про это говорил, и ты говорил, что исправил?

[gaidar]

Слетело форматирование.

[Ig]

Картинки в статьях я вроде все восстановил.

Действительно...
Это "моя лошадь медленно ходит"...

Отправил Вам персональную "тележку", дабы "не плодить сущностей", с некоторыми замечаниями.

[schalexey]

это получается если вживить код в левый процесс то можно перехватить его сообщения? + передать куда нужно и сделать что угодно?... или ошибаюсь...

ЗЫ не силен в таких тонкостях.. так что сильно не бейте

[tyomitch]

schalexey, подтверждаю: можно.
см. http://bbs.vbstreets.ru/viewtopic.php?t=10245

[schalexey]

tyomitch спасибо будем пробовать

ЗЫ http://bbs.vbstreets.ru/viewtopic.php?t ... highlight= вот в этой тебе я уже вас пытал о подобном )

[VERITAS]

Да - очень полезная вещь ! В принципе кому нада - разберется с тем что написано в статье, (а это, я бы сказал очень большой будет вам плюс).

С ассемблером - у меня туговато, мда пока к сожалению могу писать только простейшие программы под DOS и читать и вникать в изложенный код. И вот мне сейчас необходимо завершить процесс, через OpenProcess(PROCESS_TERMINATE, 0, ProcessId). Насколько я понял, в ассемблере при вызове API функции в стек помещаются параметры функции в ОБРАТНОМ порядке, т.е. для вызова OpenProcess мы должны написать

Код: Выделить всё

push dword [ebp+ProcessId]
push dword 0
push dword 01f01h
mov edx, [ebp+OpenProcess]


Вообще - я можно сказать, плохо понял как перевести константы VB в ассемблер, но есть предположения. Разъясните если не трудно, как к примеру перевести Const PROCESS_TERMINATE = &H1 в ассемблеровскую ?

Ну сообственно код для завершения процесса по ID получается (где-то такой):

Код: Выделить всё

BITS 32
jmp StartPoint

OpenProcess                 dd 0 ;функция OpenProcess
WaitForSingleObject         dd 0 ;функция WaitForSingleObject
CloseHandle                 dd 0 ;функция CloseHandle
ExitThread                  dd 0 ;функция ExitThread
ProcessId                   dd 0 ;идентификатор нашего процесса
CloseId      dd 0 ;идентификатор закрываемого процесса

CallPageBase:;эта процедура определит базовый адрес страницы и поместит его в ebp
mov ebp, [esp]
sub ebp, SomePoint
ret

StartPoint:   ;тут начинается наша программа

mov ecx, SomePoint
call CallPageBase
SomePoint:   ;сюда будет указывать [esp]
;Теперь в ebp хранится адрес начала нашего кода

push dword [ebp+ProcessId]   ;|
push dword 0   ;|
push dword 01f0fffh   

;|==>OpenProcess(PROCESS_ALL_ACCESS,0,ProcessId); где PROCESS_ALL_ACCESS=0x1f0fff
mov edx, [ebp+OpenProcess]   ;|    Открываем наш процесс
call edx   ;|
mov ebx, eax   ;будем храниться описатель нашего процесса в ebx
;Теперь в ebx хранится hProcess нашей программы

;|==>WaitForSingleObject(ebx,-1);
;| Ждем, пока наш процесс угаснет
push dword -1               
push ebx
mov edx, [ebp+WaitForSingleObject]
call edx
push ebx                  
mov edx, [ebp+CloseHandle]
call edx

push dword [ebp+CloseId]
push dword 01f01h    ;|==>OpenProcess(PROCESS_TERMINATE,0,CloseId); где PROCESS_TERMINATE=0x1f01
mov edx, [ebp+OpenProcess]    ;| Делаем терминайте (TERMINATE) процесса

push dword 0               
mov edx, [ebp+ExitThread]
call edx                  
int 3                  
int 3                  
int 3
int 3                  
int 3                  


Но он не работаете у меня - после завершения моей программы, - программа в которую был внедрен код, продолжает работать - исправьте пожайлуста что неправильно, и кратко прокоментируйте, очень хочу разобраться с ассемблер.

[tyomitch]

И вот мне сейчас необходимо завершить процесс, через OpenProcess(PROCESS_TERMINATE, 0, ProcessId).

Эта функция не завершает процесс -- а, как раз наоборот, открывает.
RTFM в направлении TerminateProcess.

[VERITAS]

Мде ..., издержки времени (в последнее время ночью совсем не соображаю).

tyomitch:
Конечно же через Private TerminateProcess (ByVal hProcess As Long, ByVal uExitCode As Long) As Long
Сначала получаем описатель закрываемого процесса через OpenProcess(PROCESS_QUERY_INFORMATION Or PROCESS_TERMINATE, 0, PID), ну а потом делаем Terminate - здесь все ясно, я даже разобрася какой код будет на асме Но одно непонятно - как переводить константы ???

Const PROCESS_QUERY_INFORMATION = &H400 (на сколько я понял и перевел эту константу, в асме я ее должен записать, как:

Код: Выделить всё

push dword 400h

Const PROCESS_TERMINATE = &H1 (будет:

Код: Выделить всё

push dword 1h

Вот объясни мне пожайлуста этот момент (перевод констант)

[VERITAS]

Если я все правильно понял, то как будет тогда записан PROCESS_QUERY_INFORMATION Or PROCESS_TERMINATE ??

[ANDLL]

Вообщето если хочеш заврешить тот процесс, в котором находится код, то вместо Open\Terminate Process можно вполне использовать ExitProcess.

[tyomitch]

Если я все правильно понял, то как будет тогда записан PROCESS_QUERY_INFORMATION Or PROCESS_TERMINATE ??

Код: Выделить всё

push 400h or 1h

[VERITAS]

tyomitch в асме ведь нет знака "or" ... nasmw ругается при компиляции, если написать то что ты говоришь.

Может меня недопоняли, (вроде все нормально пояснил). Вот к примеру <PROCESS_ALL_ACCESS> (из статьи) состоит из (STANDARD_RIGHTS_REQUIRED Or SYNCHRONIZE Or &HFFF), т.е. PROCESS_ALL_ACCESS = &HF0000& or &H100000 or &HFFF = 01f0fffh
а (PROCESS_QUERY_INFORMATION Or PROCESS_TERMINATE) или &H400 or &H1 = 0401h ???

[tyomitch]

знак "or" есть, по крайней мере, в MASM и TASM
если пользуешься какими-то гнутыми самопальными тулзами, я ни при чем.

[VERITAS]

Я тоже не причем компилятор лежал в архиве к статье, который предоставил ANDLL - бейте его

Океей tyomitch - попробую другими, это был вопрос а не упрек!

И еще один вопрос по поводу безопастности. Возможно отследить такое вжевление, ну тоесть определить то что оно произошло - можно(Outpost детектит) а просмотреть и понять что оно делает - реально с помощью какой нибудь софтинки (учитывая что пользователь - не силен в дизассемблировании) ?